Ferramentas mais importantes de computação forense para hackers e profissionais de segurança

Ferramentas mais importantes de computação forense para hackers e profissionais de segurança. As ferramentas Computer Forensics são mais frequentemente usadas pelos setores de segurança para testar as vulnerabilidades na rede e nos aplicativos, coletando evidências para encontrar um indicador de comprometimento e executar as etapas de mitigação apropriadas, ou mesmo para conduzir investigações em caso extremos.

Devido a importância deste tema, o Blog Minuto da Segurança resolveu reproduzir aqui a uma abrangente lista de ferramentas de computação forense, publicada pelo site GB Hackers (a quem damos todos os créditos pela excelente complicação), que abrange a análise forense para responder aos incidentes em todo o ambiente.

Coleções de ferramentas de computação forense

• DFIR – O projeto definitivo do compêndio  – Coleta de recursos forenses para aprendizado e pesquisa. Oferece listas de certificações, livros, blogs, desafios e muito mais
• dfir.training  – Banco de dados de recursos forenses focados em eventos, ferramentas e muito mais
• Repositório de Artefatos ForensicArtifacts.com  – Base de conhecimento legível por máquina de artefatos forenses

Ferramentas

• Ferramentas forenses na Wikipedia
• Ferramentas forenses gratuitas para computadores  – Lista abrangente de ferramentas forenses gratuitas para computadores

Distribuições

• bitscout  – LiveCD / LiveUSB para aquisição e análise forense remota
• deft  – distribuição Linux para análise forense
• SANS Investigative Forensics Toolkit (sift)  – distribuição Linux para análise forense

Frameworks

• dff  – Estrutura forense
• IntelMQ  – IntelMQ coleta e processa feeds de segurança
• Laika BOSS  – Laika é um scanner de objetos e sistema de detecção de intrusão
• PowerForensics  – PowerForensics é uma estrutura para análise forense de disco ao vivo
• O Kit Sleuth  – Ferramentas para análise forense de baixo nível
• turbinia  – Turbinia é uma estrutura de código-fonte aberto para implantação, gerenciamento e execução de cargas de trabalho forenses em plataformas em nuvem

Live Forense 

• grr  – Resposta rápida GRR: análise forense remota ao vivo para resposta a incidentes
• Linux Expl0rer  – Caixa de ferramentas forense ao vivo fácil de usar para terminais Linux escritos em Python e Flask
• mig  – Análise forense digital distribuída e em tempo real na velocidade da nuvem
• osquery  – análise de sistema operacional com SQL

Imaging

• dc3dd  – versão aprimorada do dd
• dcfldd  – Versão melhorada diferente do dd (esta versão possui alguns erros !, outra versão está no github  adulau / dcfldd )
• FTK Imager  – Ferramenta de imagem grátis para windows
• Guymager  – Versão de código aberto para criação de imagens de disco em sistemas Linux

Carving

mais na  Lista de análise de malware

• bstrings  – Utilitário de strings aprimorado
• bulk_extractor  – Extrai informações como endereços de email, números de cartões de crédito e histrogramas de imagens de disco
• floss  – Ferramenta de análise estática para desobstruir automaticamente seqüências de caracteres de binários de malware
• photorec  – Ferramenta de gravação de arquivos

Memory Forensics

• inVtero.net  – A estrutura de análise de memória de alta velocidade desenvolvida em .NET suporta todo Windows x64, inclui integridade de código e suporte a gravação.
• KeeFarce  – Extrai senhas do KeePass da memória
• Rekall  – Estrutura Forense em Memória
• volatilidade  – A estrutura forense da memória
• VolUtility  – framework Web App for Volatility
• BlackLight – cliente de ferramentas Windows / MacOS Computer Forensics que suporta análise de hiberfil, arquivo de paginação e memória bruta.
• DAMM – Análise Diferencial de Malware na Memória, baseada na Volatilidade.
• evoluir – interface da Web para o Volatility Memory Forensics Framework.
• FindAES – Encontre chaves de criptografia AES na memória.
• inVtero.net – A estrutura de análise de memória de alta velocidade desenvolvida em .NET suporta todo Windows x64, inclui integridade de código e suporte a gravação.
• Muninn – Um script para automatizar partes da análise usando Volatility e criar um relatório legível.
• Rekall – framework de análise de memória, derivado do Volatility em 2013.
• TotalRecall – Script baseado em Volatilidade para automatizar várias tarefas de análise de malware.
• VolDiff – Execute a volatilidade nas imagens de memória antes e depois da execução do malware e relate alterações.
• Volatilidade – Estrutura forense de memória avançada.
• VolUtility – Interface da Web para estrutura de análise de memória de volatilidade.
• WDBGARK – Extensão do WinDBG Anti-RootKit.
• WinDbg – Inspeção de memória ao vivo e depuração do kernel para sistemas Windows.

Network Forensics

• SiLK Tools  – SiLK é um conjunto de ferramentas de coleta de tráfego de rede e ferramentas de análise de computação forense
• Wireshark  – A ferramenta de análise de tráfego de rede
• NetLytics  – plataforma de análise para processar dados de rede no Spark.

Artefatos do Windows

• ArtifactExtractor  – Extrai artefatos comuns do Windows de imagens de origem e VSCs
• FastIR Collector  – Colete artefatos no Windows
• FRED  – Editor de colméia de registro da Microsoft para várias plataformas
• LogonTracer  – Investigue o logon malicioso do Windows visualizando e analisando o log de eventos do Windows
• Analisadores  de MFT – Comparação de Analisadores de MFT
• MFTExtractor  – Analisador de MFT
• Analisador de diário NTFS
• Analisador de diário USN NTFS
• RecuperaBit  – Reconstrua e recupere dados NTFS
• python-ntfs  – análise NTFS

OS X Forensics

• OSXAuditor

Artefatos da Internet

• chrome-url-dumper  – Despeja todas as informações armazenadas localmente coletadas pelo Chrome
• retrospectiva  – análise forense do histórico da Internet para Google Chrome / Chromium

Timeline Analysis

• DFTimewolf  – Framework para orquestrar a coleta, processamento e exportação de ferramentas de Computer Forensics usando GRR e Rekall
• plaso  – Extraia timestamps de vários arquivos e agregue-os
• timesketch  – Análise colaborativa da linha do tempo forense

Manipulação de imagem de disco

• aff4  – O AFF4 é um formato de arquivo alternativo e rápido
• imagemounter  – Utilitário de linha de comando e pacote Python para facilitar a (des) montagem de imagens de disco forense
• libewf  – Libewf é uma biblioteca e algumas ferramentas para acessar o Expert Witness Compression Format (EWF, E01)
• xmount  – converte entre diferentes formatos de imagem de disco

Decriptografia

• hashcat  – Quebra de senha rápida com suporte a GPU
• John the Ripper  – quebra de senha

Aprenda forense

• Desafios forenses  – Mapa mental de desafios forenses
• Material de treinamento  – Material de treinamento on-line da Agência da União Européia para segurança de redes e informações para diferentes tópicos (por exemplo  , forense digital ,  forense em rede )

CTFs

• CTFs forenses
• Widgets de precisão da intrusão de Dakota do Norte

Recursos

Livros

mais em  Leituras recomendadas  por Andrew Case

• Análise forense de rede: rastreando hackers pelo ciberespaço  – Aprenda a reconhecer os rastros de hackers e descobrir evidências baseadas em rede
• A arte da análise forense de memória  – detecção de malware e ameaças na memória do Windows, Linux e Mac
• A prática do monitoramento de segurança de rede  – Compreendendo a detecção e resposta a incidentes

Sistema de arquivos Corpora

• Imagens do Desafio Forense Digital  – Dois desafios do DFIR com imagens
• Imagens de teste de ferramenta forense digital
• Desafio aberto de pesquisa da FAU Forense digital
• O Projeto CFReDS
  • Caso de invasão (imagem NTFS de 4,5 GB)

Twitter

• @ 4n6ist
• @ 4n6k
• @aheadless
• @AppleExaminer  – Apple OS X e iOS Forense digital
• @blackbagtech
• @ carrier4n6  – Brian Carrier, autor de Autópsia e o kit Sleuth
• @CindyMurph  – Detetive e examinador forense digital
• @forensikblog  – Computador forense geek
• @HECFBlog  – Instrutor certificado SANS
• @Hexacorn  – DFIR + malware
• @hiddenillusion
• @iamevltwin  – Mac Nerd, Analista forense, autor e instrutor do SANS FOR518
• @jaredcatkinson  – PowerShell Forensics
• @maridegrazia  – Examinador forense de computadores
• @sleuthkit
• @williballenthin
• @XWaysGuide

Blogs

• thisweekin4n6.wordpress.com  – Atualizações semanais para forense

Outros

• /r/computerforensics/ – Subreddit for computer forensics
•  Cartazes forenses – Cartazes de estruturas de sistemas de arquivos

Fonte: GB Hackers 

Veja também:

• PDCA aplicado à LGPD – Lei Geral de Proteção de Dados
• Lista de email de pacientes usuários de Canabidiol é exposto pela Anvisa
• Hackers iranianos invadiram servidores VPN para plantar backdoors
• Proteção de dados e expectativas para 2020
• Estratégia de prospecção do Nubank fere a LGPD
• Signal – Sw de comunicação em massa com privacidade levada a sério
• Overview para Pen Test no Active Directory – Reconnaissance & Attack
• Porque o Smartphone monitorar sua localização é um problema!
• FBI aponta perdas por Compromisso de eMail de US$ 1,7 bilhão em 2019
• Microsoft emite aviso para milhões de usuários do Windows 10
• Atividade Criminosa Online no Brasil – Phishing bate record !
• Broadcom vende unidade de serviços de segurança da Symantec para Accenture